Estafa en 3 pasos - Pescando víctimas

Generalmente los usuarios que reciben correos electrónicos falsos, provenientes de supuestas entidades bancarias, encuentran un enlace en el cuerpo del correo que los dirige a una página web, y es entonces cuando comienza el engaño:

1. Una vez que ingrese los datos para autenticarse, es notificado sobre el proceso de actualización

2. Deberá especificar si cuenta o no con una tarjeta de coordenadas

3. En caso que lo haga ingresar todos los datos correspondientes a la misma

Es así como en una serie de tres o cuatro pasos los atacantes obtienen toda la información personal para poder acceder a sus cuentas bancarias.

La banca electrónica es una excelente opción para que los usuarios hagan sus transacciones bancarias en menos tiempo y desde la comodidad de su hogar u oficina. Además de manejarse como una estrategia ecológica, por disminuir la impresión en papel, este servicio permite obtener información de forma inmediata. Pero si no se utiliza con cuidado, esta herramienta puede servir de escudo para delincuentes que usan técnicas de ingeniería social para robar información confidencial.

Recientemente la empresa líder en desarrollo de soluciones para la detección de códigos maliciosos y amenazas tecnológicas, ESET, detectó el uso de campañas de phishing, mediante correos electrónicos falsos e ingeniería social, dirigidas a usuarios del servicio de banca electrónica. Con esta técnica el atacante consigue datos confidenciales de las cuentas bancarias, sin la necesidad de utilizar algún software malicioso.

El gerente de mercadeo y ventas de ESET en Venezuela, Renato De Gouveia, explicó que con este tipo de amenazas el usuario cae víctima del engaño a través de la recepción de un correo electrónico que supone provenir de una entidad bancaria, al hacer clic en los enlaces contenidos en el correo, es redirigido a un sitio falso, de aspecto similar al real. Para ser más convincente, el atacante informa sobre la supuesta finalización de una actualización en los servidores que invita a acceder a sus cuentas.

Usualmente el usuario hogareño es redirigido a un determinado sitio en donde, por más que intente acceder a su información, no lo va a lograr y finalmente estos atacantes se adueñarán de su información. Al finalizar el ataque, la víctima es redirigida a la página oficial del banco y así se pasa por alto qué fue lo que sucedió.

En los casos de usuarios corporativos, frecuentemente se les engaña para que entreguen información bancaria y el acceso a las cuentas de la empresa; además proveen una dirección de correo válida. Siguiendo unos pocos y simples pasos, las cuentas de una organización se pueden ver expuestas ante un ataque pura y exclusivamente de ingeniería social, sin emplear un software malicioso.